Wróć do bloga
Threat Intelligence 13 kwietnia 2026

Jeden Otwarty Port: Jak Ransomware Dostaje Się do Małych Firm

Co tydzień tysiące małych firm nieświadomie reklamuje otwarte drzwi dla atakujących ransomware. Te drzwi nazywają się RDP — Protokół Pulpitu Zdalnego — i nasłuchują na porcie 3389.

Czym Jest RDP i Dlaczego Jest Używany?

Remote Desktop Protocol to technologia Microsoftu, która pozwala sterować komputerem z systemem Windows przez połączenie sieciowe. Jest naprawdę przydatna: księgowy może pracować z domu, informatyk może naprawiać problemy zdalnie, menedżer gabinetu może uzyskać dostęp do systemu rezerwacji z innej lokalizacji.

Problem tkwi w sposobie wystawienia. Wiele firm konfiguruje RDP, po prostu otwierając port 3389 na routerze — kierując go bezpośrednio na wewnętrzną maszynę. Od tej chwili każdy w internecie może próbować się zalogować.

Jak Atakujący Znajdują Go w Minuty

Narzędzia takie jak Shodan i Censys ciągle skanują cały internet i indeksują każde urządzenie z otwartym portem. Wyszukiwanie port:3389 na Shodanie zwraca miliony wyników — w tym gabinety stomatologiczne, biura rachunkowe i małe firmy w Polsce i całej Europie.

Atakujący nie przeglądają tych wyników ręcznie. Uruchamiają automatyczne skrypty, które:

  1. Pobierają listę adresów IP z otwartym portem 3389
  2. Próbują zalogować się przy użyciu tysięcy typowych kombinacji użytkownik/hasło (credential stuffing)
  3. Testują dane uwierzytelniające znalezione w bazach naruszeń danych — jeśli pracownicy używają tych samych haseł, to często działa
  4. Wykorzystują znane podatności RDP, takie jak BlueKeep (CVE-2019-0708), na niezaktualizowanych systemach

Cały proces od odkrycia portu do udanego logowania może zająć mniej niż godzinę.

Co Się Dzieje Po Uzyskaniu Dostępu

Gdy atakujący ma dostęp przez RDP, ma taką samą kontrolę jak legalny użytkownik — często większą. Typowa sekwencja:

  • Rozpoznanie: mapuje sieć, identyfikuje serwery plików, dyski z kopiami zapasowymi i połączone systemy
  • Ruch boczny: przenosi się na inne maszyny, używając tych samych lub zebranych danych uwierzytelniających
  • Wdrożenie ransomware: uruchamia plik ransomware, który szyfruje pliki na wszystkich dostępnych dyskach jednocześnie
  • Żądanie okupu: na ekranach pojawia się żądanie zapłaty, zazwyczaj w kryptowalucie

Dla gabinetu stomatologicznego lub biura rachunkowego zaszyfrowane pliki oznaczają dane pacjentów, zdjęcia RTG, dane podatkowe klientów, umowy — wszystko — jest niedostępne. Odzyskanie bez płacenia okupu wymaga zazwyczaj przywrócenia z kopii zapasowej, której większość małych firm nie posiada w użytecznej formie.

Rozwiązanie: Trzy Kroki

1. Wyłącz publiczną ekspozycję RDP. Jeśli zdalny dostęp jest potrzebny, całkowicie zamknij port 3389 na publicznym routerze. To natychmiast usuwa otwarte drzwi.

2. Zamiast tego użyj VPN. Pracownicy zdalni powinni najpierw połączyć się przez VPN, a następnie korzystać z RDP w sieci prywatnej. Oznacza to, że port 3389 nigdy nie jest widoczny w publicznym internecie.

3. Włącz Network Level Authentication (NLA) i MFA. NLA wymaga podania danych uwierzytelniających przed nawiązaniem sesji, blokując nieuprawnione exploitowanie. Dodanie uwierzytelniania wieloskładnikowego sprawia, że ataki credential stuffing są nieskuteczne, nawet jeśli hasło zostało ujawnione.

Nie jesteś pewien, czy Twoja firma ma wystawiony port 3389? Nasze bezpłatne skanowanie wstępne sprawdza to w ramach każdej oceny — wraz z pięcioma innymi krytycznymi punktami ekspozycji zewnętrznej. Wyniki w 24 godziny.

Czy Twoja firma jest narażona?

Sprawdź to z bezpłatnym skanowaniem wstępnym. Bez kosztów, bez zobowiązań — wyniki w 24 godziny.

Zamów bezpłatne skanowanie